---
name: datenschutz-gesundheitsdaten-krankenkasse-arbeitgeber
description: "Datenschutz im Krankenversicherungsrecht: DSGVO, § 67 SGB X, Weitergabe an Arbeitgeber, MDK-Datenschutz und Auskunftsrechte im Krankenkassen-/Krankenversicherungsrecht: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung."
---

# Datenschutz: Gesundheitsdaten, Krankenkasse und Arbeitgeber

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: SGB V §§ 27, 39, 92, 109, 137, 295, 301, RisikoStruktAusglV, SGB IV, SGB X, SGG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Skill-Zweck

Gesundheitsdaten genießen besonderen Schutz. Dieser Skill klärt, **welche Daten die Krankenkasse verarbeiten darf**, wann sie Daten weitergeben darf und welche Rechte der Versicherte hat – insbesondere gegenüber dem Arbeitgeber.

## Rechtlicher Rahmen

- **DSGVO Art. 9** – Besondere Kategorien personenbezogener Daten (Gesundheitsdaten)
- **§ 67 SGB X** – Sozialdatenschutz: Grundsätze, Zweckbindung
- **§ 76 SGB X** – Übermittlung von Sozialdaten an Strafverfolgungsbehörden
- **§ 77 SGB X** – Übermittlung für wissenschaftliche Forschung
- **§ 295 SGB V** – Datenübermittlung Arzt → Kasse (Diagnosen, Leistungsdaten)
- **§ 305 SGB V** – Auskunftsanspruch des Versicherten
- **§ 611a BGB** – Datenschutz im Arbeitsverhältnis (kein Recht auf AU-Diagnose durch AG)
- **BDSG** §§ 22, 26 – Beschäftigtendatenschutz
- BSG B 1 KR 25/17 R (Sozialdatenschutz und Weitergabe)

## Schutzbereich und Weitergabe-Verbote

| Datenkategorie | Weitergabe an Arbeitgeber | Rechtsgrundlage |
|---------------|--------------------------|-----------------|
| AU-Diagnose | VERBOTEN | § 294 SGB V; kein Anspruch AG |
| AU-Fakt (ja/nein) | Nur durch Arbeitnehmer selbst | § 5 EFZG |
| Behandlungsart | VERBOTEN ohne Einwilligung | DSGVO Art. 9 |
| MDK-Gutachteninhalt | VERBOTEN gegenüber AG | § 67 SGB X |
| Beitragsschulden | Beitreibungsmaßnahmen nicht an AG | § 76 SGB X |

## Prüfprogramm

### Schritt 1 – Datenverarbeitung durch Kasse
- Welche Daten verarbeitet die Kasse? (§ 284 SGB V: abschließende Aufzählung)
- Zweckbindung: Kasse darf Daten nur für den gesetzlichen Aufgabenbereich nutzen
- Datenminimierung: nur erforderliche Daten erheben (DSGVO Art. 5 Abs. 1 lit. c)

### Schritt 2 – Weitergabe an Arbeitgeber
- Arbeitgeber hat keinen Anspruch auf Diagnosen; Auskunftspflicht des AN: nur „krank ja/nein"
- Kasse darf keine Gesundheitsdaten an Arbeitgeber übermitteln
- Ausnahme: Arbeitgeber zahlt Entgeltfortzahlung → hat Anspruch auf Bestätigung AU, aber nicht Diagnose
- Betriebsarzt: separates System; Betriebsarzt darf keine Diagnosen an Arbeitgeber weitergeben (§ 8 ASiG)

### Schritt 3 – MDK und Datenschutz
- MDK-Gutachten enthält sensible Gesundheitsdaten; verbleibt beim MD
- Arbeitgeber hat kein Recht auf MDK-Gutachten
- Sozialgerichte: können Gutachten beiziehen; Akteneinsicht nur Partei (Versicherter, Kasse)

### Schritt 4 – Auskunftsrechte des Versicherten
- § 305 SGB V: Kasse muss Versicherten über gespeicherte Daten informieren
- DSGVO Art. 15: Auskunftsrecht über alle personenbezogenen Daten
- Löschung: nicht möglich wenn gesetzliche Aufbewahrungspflicht (§ 110 SGB IV: 10 Jahre)

### Schritt 5 – Elektronische Patientenakte (ePA) und Datenschutz
- ePA: Daten freiwillig eingestellt; Versicherter entscheidet über Zugriffsrechte
- Arbeitgeber hat kein Zugriffsrecht auf ePA
- Opt-out-Regelung (ab 2025): ePA standardmäßig angelegt; Widerspruch möglich

## Typische Fallen

- **Krankenkassen-App-Daten**: Gesundheitsdaten in Apps der Kasse fallen unter DSGVO; Einwilligung prüfen.
- **Entgeltfortzahlungs-Erstattung**: Wenn AG von Kasse EFZG-Erstattung erhält, fließen keine Diagnosen → nur Betrag.
- **Bonusprogramme und Datenkrake**: Fitnessdaten, Vorsorge-Nachweise → DSGVO-Einwilligung prüfen; Widerruf möglich.
- **Auskunftsersuchen Strafverfolgung**: Enge Voraussetzungen (§ 76 SGB X); Kasse muss kein Selbstauskunftsrecht sabotieren.

## Output-Formate

- Datenschutz-Auskunftsantrag (DSGVO Art. 15)
- Beschwerde bei Datenschutzbeauftragten (Aufsichtsbehörde)
- Widerspruch gegen Datenweitergabe
- ePA-Widerspruchsschreiben
- Informationsblatt für Arbeitnehmer

## Quellen

- [DSGVO Art. 9 – Gesundheitsdaten](https://dsgvo-gesetz.de/art-9-dsgvo/)
- [§ 67 SGB X – Sozialdatenschutz](https://www.gesetze-im-internet.de/sgb_10/__67.html)
- [§ 284 SGB V – Datenverarbeitung Kassen](https://www.gesetze-im-internet.de/sgb_5/__284.html)
- [§ 305 SGB V – Auskunftsanspruch](https://www.gesetze-im-internet.de/sgb_5/__305.html)
- [Bundesdatenschutzgesetz BDSG](https://www.gesetze-im-internet.de/bdsg_2018/)
- [dejure.org § 67 SGB X](https://dejure.org/gesetze/SGB_X/67.html)
- [BfDI – Bundesbeauftragter Datenschutz](https://www.bfdi.bund.de)